新功能是通過反惡意軟件掃描接口 (ASR) 規則引入的,該規則是 Microsoft Defender 用於掃描文件和阻止惡意軟件的一組規則。
該規則使用機器學習來檢測不需要訪問 Windows 中的 LSA 功能但仍嘗試訪問它們的惡意進程。
LSASS 的工作原理
本地安全機構子系統服務 (LSASS) 是 Windows 中處理登錄和其他安全相關任務的進程,因此通過訪問 LSA 功能,惡意軟件可以從內存或其他Windows 安全功能中竊取憑據。
Microsoft 的 Credential Guard 通過使用其 Defender 組件保護系統來對登錄用戶進行身份驗證。問題是並非所有環境都會啟用 Credential Guard,因為它與所有程序不兼容。
攻擊者闖入用戶計算機時生成的內存轉儲文件可能包含用戶的密碼和用戶名。這個文件是通過使用 Mimikatz 來實現的,這是一種為此目的而設計的特殊工具。
攻擊者可以使用操作系統中存在的合法進程來獲得對系統的完全訪問權限,並將包含憑據的內存轉儲傳輸到遠程位置。
Defender 不會阻止此操作,因為該過程是合法的並且該操作不是惡意的。Defender 只檢測進程的惡意使用,不能阻止它們的創建或轉移。
Microsoft Defender 更新
Microsoft 通過引入稱為攻擊面減少(ASR) 的新安全規則來解決此安全問題。
此規則將阻止程序打開 LSASS,進而阻止它們創建內存轉儲。即使提升的程序試圖打開該進程,它也會阻止對 LSASS 的訪問。
因為只有具有管理員權限的程序才能打開 LSASS,所以此塊也阻止它們訪問可能在計算機上運行的其他受保護進程。
該規則還阻止受保護進程本身打開自己的映像,從而無法捕獲或修改受保護內存中的數據。
此默認設置會導致啟用此 ASR,而與之關聯的所有其他規則仍保持默認狀態。
的優點和缺點
Microsoft Defender 使用檢測系統來檢測已知和未知的惡意軟件,但它並不可靠。惡意軟件作者一直在尋找新的方法來保護他們的惡意軟件不被檢測到。
但是,如果您在計算機上使用第三方防病毒軟件,則 ASR 規則不可用。缺少 ASR 規則允許黑客繞過 Microsoft Defender 限制,以及繞過它的方法。
許多Windows 安全研究人員已經繞過 Defender ASR 規則,使用其排除路徑訪問 Lsass.exe 文件。
該報告提到,由於 Defender 已經有一些例外——例如,它允許某些具有管理員權限的用戶請求和響應 ASR 請求——它允許黑客在尋找攻擊計算機的新方法時利用這些規則。
這意味著只有 Windows 11 Enterprise 和 Pro 用戶將受到增強 ASR 的保護。
然而,安全研究人員對新的 ASR 規則表示歡迎。由於這使 Windows 更加安全,因此被盜的密碼越少越好,因為每個人都會從中受益。
最新版本的Microsoft Defender(稱為 Microsoft Defender 預覽版)提供了一個儀表板,您可以使用該儀表板管理設備的安全性。
你認為新的 Microsoft Defender 更新對 Windows 安全有承諾嗎?在下面的評論部分中給我們您的想法。
發佈留言